Pages - Menu

Страницы

8.4.09

Малому бизнесу компенсируют затраты на сертификацию по ISO 27001

Иногда смотришь на наше законодательство и диву даешься - вроде бы и правильные вещи написаны... по сути, а на деле - чушь и полный бред. Возьмем к примеру Приказ того еще Минэкономразвития от 5 марта 2007 года №75 "О мерах по реализации в 2007 году мероприятий по государственной поддержке малого предпринимательства". Он конечно старый, но действует.

В приложении 5 этого приказа прописаны общие требования к бизнес-инкубатору и порядку предоставления помещений и оказанию услуг субъектам малого предпринимательства в бизнес-инкубаторе. В нем есть перечень затрат субъекта малого предпринимательства, связанных с оплатой услуг по выполнению обязательных требований законодательства Российской Федерации и (или) законодательства страны-импортера, являющихся необходимыми для экспорта товаров (работ, услуг), для выполнения которых предоставляется субсидия. И вот в этот перечень каким-то образом затесался ISO 27001, затраты на сертификацию по которому готово возмещать государство в размере 50%, но не более 250000 рублей.

Каким образом ISO 27001 попал в разряд обязательных? Зачем фермерскому хозяйству (а именно оно приведено как пример предприятия малого предпринимательства) сертификация по ISO 27001? У меня нет ответов. Но знание экспертами бывшего МЭРТа этого стандарта радует (правда непонимание его области применения - огорчает).

ЗЫ. Кстати, согласно этому приказу на субсидию можно рассчитывать и в случае иных стандартов и форм обязательной сертификации. Т.е. затраты на выполнения требований ФСТЭК или ФСБ по линии персданных можно попробовать компенсировать. Правда 250000 рублей по нынешним меркам - это копейки ;-(

28 комментариев:

  1. Извини, но это опять я.

    Чем тебе фермерское хозяйство-то не угодило? Как переживший несколько ИСОшных аудитов (две предсертификации, одна сертификация, одна ресертификация и три или четыре подтверждающих), не вижу существенного препятствия получить 27001 на фермерское хозяйство, кроме запаха (это из-за аллергии, а не то что ты подумал).

    У тебя на какой счет сомнения - связь с бизнесом? Тайны работников, партнеров и немножко своей коммерческой. Можешь смеяться или не смеяться, но если станет известно хотя бы как я солярку достаю, тут мне и капец сразу. Думаешь, если мышка маленькая, то у нее и смерть ненастоящая? Ну-ну.

    Потребность в сертификации? Получение маркетингового преимущества (известность) - фермеров много, а таких сертификатов по пальцам одной руки.

    Мало применимых контролов? У меня такой SoA в результате RA, найди ошибку - поправлю.

    ОтветитьУдалить
  2. А я согласен с Алексеем - на фиг фермерскому хозяйству такая сертификация? Я не спорю, что получить можно, но зачем? Известность фермерскому хозяйству ИМХО не особо нужна - его продукцию не развезешь по всему миру, это не телевизоры и не автомобили. Может быть когда нибудь ситуация и изменится, и ИБ станет обязательным требованием и неотъемлемой частью всех видов человеческой деятельности, но сейчас я не могу себе представить фермера, продающего пшеницы больше, потому что у него есть сертификат на СМИБ. Я скорее приму, что домашней хозяйке и няне нужно Соглашение о неразглашении подписывать, чем необходимость в ISO 27001 в коровнике. Лучше бы эти деньги дополнительно в защиту среды вложить, а то через Томилино ездить невозможно:)

    ОтветитьУдалить
  3. Как правильно заметил Михаил в презентации на РусКрипто, best practices (а 27001 как раз из их разряда) - это как мировой рекорд; приблизиться к нему по силам не только не для всех, а для очень немногих. И стоит ли тогда рвать одно место для этого?

    Никто не спорит, что "технически" и ИЧП можно по 27001 выстроить и сертифицировать. Но вот нужно ли? И будет ли ИЧП после этого эффективно работать?

    ОтветитьУдалить
  4. Зачем или незачем - не твоя забота, это его, этого малого бизнеса право международный сертификат поиметь. Тут ключевое слово - "бизнес", а не "малый". "Малый" играет роль для получения господдержки, а не строить ли ему СМ*/СМ**. И там, между прочим, не только 27001 и не только фермеры, просто Леша такую крайность выбрал. Подставь-ка вместо 27001 22000 или вместо фермера юрфирму.

    ОтветитьУдалить
  5. Я про другие стандарты не говорю. Там в списке есть и нужные. По той же пищевой безопасности. Я говорю только про 27001.

    Малый бизнес не случайно назван малым, хоть и бизнесом. Не сможет он городить всю эту бодягу с реагированием на инциденты, выстраиванием службы ИБ, которой у него и нет, и т.п. Не сможет. Хоть ты фермер, хоть юридическая контора.

    Это как COBIT на малом предприятии внедрять ;-)

    ОтветитьУдалить
  6. Этот комментарий был удален автором.

    ОтветитьУдалить
  7. Сергей Романовский на курсах 27001 в АИСе рассказывал про семейную кажется сыродельню, получившую этот сертификат. В Швейцарии что-ли.

    ОтветитьУдалить
  8. To: Ригель

    Поделитесь, пожалуйста, опытом. Что дала вашей организации сертификация по ISO 27001? Насколько наличие такого сертификата важно для Ваших клиентов?

    Спасибо!

    ОтветитьУдалить
  9. Как говорил Михаил на РусКрипто ;-) консультантов приглашают ради двух вещей - для внешней аудитории (акционеры, инвесторы и т.п.) и для выстраивания внутренней работы. В процессе обсуждения в другой заметке мы еще вышли на третью цель - "прачечная".

    А теперь транслируем это на малый бизнес. Есть ли у них внешняя аудитория, которой нужен и ПОНЯТЕН сертификат на 27001? Не уверен. Если такие исключения и есть, то они скорее подтверждают правило. Для внутренней работы. Безусловно, использовать некоторые практики из стандарта полезно, но не все. На выстраивание процессов по 27001 уйдет слишком много денег, которых к SMB и так не хватает на развитие. Отмыв денег? Практически не смешно ;-)

    Вот и получается, что для большинства малых предприятий эта сертификация, как собаке пятая нога. Ничего не дает, кроме нехилых затрат и мифической выгоды от того, что ты "первая сыроварня, получившая сертификат ISO 27001" ;-)

    Все это конечно, имхо. Из всех писавших, только у Ригеля компания прошла сертификацию по ISO 27001. Правда ее не отнесешь к малому бизнесу ;-)

    ОтветитьУдалить
  10. Для Алексея:
    Берем более массовый случай - чтобы получить социальный налоговый вычет за обучение ребенка немецкому языку, не нужно документально подтверждать, что знание немецкого ему круто помогло или гарантированно поможет. Это ж какое расточение госбюджета! Тиграм не докладывают мяса, и все такое прочее.

    Для Александра:
    Мой CEO считает, что это позволяет удерживать главного клиента и брать с него N - ему виднее.

    ОтветитьУдалить
  11. >Зачем или незачем - не твоя забота, это его, этого малого бизнеса право международный сертификат поиметь/

    Стоп, с твоей легкой руки у нас произошла подмена понятий. Речь не о праве (если фермеру приспичит повесить сертификат на стену коровника - ради бога, может от сознательности коров удои вырастут, только читать научить), а об обязанности. Изначально говорили о том, что сертификация по 27001 попала в разряд обязательных, и обсуждали целесообразность именно этого навязывания. Попыток подменить цели малого бизнеса своим видением этих целей замечено не было:)

    Леш, насчет сравнения 27001 с мировым рекордом поспорю. Для завоевания мирового рекорда нужно БЫТЬ, а для получения 27001 вполне достаточно КАЗАТЬСЯ. Есть по крайней мере один реальный пример чистой профанации, однако с выдачей сертификата.

    ОтветитьУдалить
  12. Для малого или среднего бизнеса не обязательно внедрять весь стандарт. Прав Ригель говоря о том, что все дело в оценке рисков и выборе контрмер из ISO 27001. На тренинге по подготовке аудиторов по ISO 27001 я слышал о случае, когда компания была сертифицирована, а в ее SOA (положение о применимости контролей) было всего около 30 мер по минимизации рисков. Другой вопрос - нужен ли малому и среднему бизнесу красивый сертификат.

    ОтветитьУдалить
  13. Читаем внимательно...

    ПЕРЕЧЕНЬ
    ЗАТРАТ СУБЪЕКТА МАЛОГО ПРЕДПРИНИМАТЕЛЬСТВА,
    СВЯЗАННЫХ С ОПЛАТОЙ УСЛУГ ПО ВЫПОЛНЕНИЮ ОБЯЗАТЕЛЬНЫХ
    ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
    И (ИЛИ) ЗАКОНОДАТЕЛЬСТВА СТРАНЫ-ИМПОРТЕРА, ЯВЛЯЮЩИХСЯ
    НЕОБХОДИМЫМИ ДЛЯ ЭКСПОРТА ТОВАРОВ (РАБОТ, УСЛУГ),
    ДЛЯ ВЫПОЛНЕНИЯ КОТОРЫХ ПРЕДОСТАВЛЯЕТСЯ СУБСИДИЯ

    (в ред. Приказа Минэкономразвития РФ от 24.09.2007 N 329)

    Субсидии субъектам малого предпринимательства предоставляются
    из бюджета субъекта Российской Федерации после предоставления
    субъектом малого предпринимательства уполномоченному органу
    исполнительной власти субъекта Российской Федерации документов,
    перечисленных в пункте 21 Постановления Правительства Российской
    Федерации от 22 апреля 2005 г. N 249 "Об условиях и порядке
    предоставления в 2005 году средств федерального бюджета,
    предусмотренных на государственную поддержку малого
    предпринимательства, включая крестьянские (фермерские) хозяйства"
    (далее - Постановление), и заверенной копии сертификата,
    свидетельства или иного документа, подтверждающего факт выполнения
    обязательных требований законодательства Российской Федерации и
    (или) законодательства страны-импортера.
    2. Выполнения требований по:
    - стандарту ISO 9001 (обеспечение качества);
    - стандарту ГОСТ Р ИСО 9001 (обеспечение качества);
    - стандарту ISO 14001 (охрана окружающей среды);
    - стандарту ГОСТ Р ИСО 14001 (охрана окружающей среды);
    - стандарту OHSAS 18001 (охрана труда и промышленная
    безопасность);
    - стандарту ГОСТ Р 12.0.006-2002 (охрана труда и промышленная
    безопасность);
    - стандарту серии SA 8000 (социальная ответственность и
    управление персоналом);
    - стандарту ISO/IEC 27001 (информационная безопасность);
    - стандартам серии GMP (Good Manufacturing Practice);
    - системам управления пищевой безопасности НАССР (Hazard
    Analysis and Critical Control Point);
    - стандарту ISO 22000 (система менеджмента безопасности
    пищевых продуктов);
    - стандарту ISO/TS 16949:2002 (обеспечение качества в
    автомобилестроении);
    - стандарту ИСО/ТУ 16949 (обеспечение качества в
    автомобилестроении);
    - стандарту TL 9000 (обеспечение качества в
    телекоммуникационной отрасли);
    - стандарту ISO/TS 29001 (обеспечение качества в нефтяной,
    нефтехимической и газовой отрасли промышленности);
    - стандарту ISO 13485 (обеспечение качества продукции
    медицинского назначения);
    - стандарту ГОСТ Р ИСО 13485 (обеспечение качества продукции
    медицинского назначения);
    - стандарту AS/En 9100:2001 (управление качеством на
    предприятиях авиакосмической отрасли);
    - обязательной маркировке СЕ;
    - формам "А", "СТ-1";
    - иным стандартам и формам обязательной сертификации
    (исполнительные органы субъектов Российской Федерации имеют право
    расширять перечень стандартов по согласованию с Минэкономразвития
    России).
    3. Максимальный размер субсидии составляет 50% документально
    подтвержденных затрат, но не более 250000 руб., на покрытие
    расходов, связанных с получением одного сертификата, и не более
    600000 руб. на один субъект малого предпринимательства.
    (в ред. Приказа Минэкономразвития РФ от 24.09.2007 N 329)

    ОтветитьУдалить
  14. А почему он действует ?!

    ОтветитьУдалить
  15. Ригелю: А вычет за обучение дают после получения сертификата или после факта оплаты?

    Например, по квартире вычет дают после ее оплаты. А въехал ты туда или нет, используешь ее или нет, есть у тебя страховка или нет, никого не волнует.

    Есть подозрение, что и по обучению тебе компенсируют только часть затрат на обучение. А вот закончил ты его или нет, сдал экзамен или нет, налоговую не волнует.

    ОтветитьУдалить
  16. swan'у: Да дело не в том, почему он действует или не действует (я его отмененным не видел). Просто вообще интересная постановка вопроса. 27001 назвали обязательным и посчитали, что малому бизнесу он нужен. Вот и все собственно ;-)

    ЗЫ. Никто никогда не пытался вернуть денег по нему ;-)

    ОтветитьУдалить
  17. Алексей.
    По поводу действия логика (моя) подсказывает что Приказ ограничен действием на 2007 год...

    С точки зрения обязательности "СВЯЗАННЫХ С ОПЛАТОЙ УСЛУГ ПО ВЫПОЛНЕНИЮ ОБЯЗАТЕЛЬНЫХ
    ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
    И (ИЛИ) ЗАКОНОДАТЕЛЬСТВА СТРАНЫ-ИМПОРТЕРА, ЯВЛЯЮЩИХСЯ
    НЕОБХОДИМЫМИ ДЛЯ ЭКСПОРТА ТОВАРОВ (РАБОТ, УСЛУГ),"

    По сути будет субсидия в случае:
    1. МП докажет обязательность необходимости сертификации
    2. Докажет необходимость из этого конкретного перечня
    3. Из других перечней, в случае его согласования .. бла бла бла...

    По сути Приказ и приложение 6 НЕ ОБЯЗЫВАЮТ сертифицировать а говорят только о том, что в случае доказанной необходимости/обязательности такой сертификации будет помощь для МП. и все...

    По поводу свинофермы )))
    - если МП импортирует свинятину а принимающая страна требует от поставщика ISO 27xxx то ради бога... Готов на каждой хрюшке поставить штамп !!!

    Видимо в Брюсселе есть кафе "Хакер vs ИБшник" и в меню есть "Троянская Котлета" от сертифицированной Хрюши...

    ОтветитьУдалить
  18. > Другой вопрос - нужен ли малому и среднему бизнесу красивый сертификат.

    Так не другой, а именно этот вопрос мы и обсуждаем. Речь идет не о том, что не нужна безопасность, а о том, что нет смысла в обязательной сертификации - только об этом и идет речь. Добровольно захочет внедрить контроли из 27001 - ради бога, пусть и RA делает, и аудиты проводит, и аварнес среди доярок и механизаторов, BCM занимается.. Но сертификация-то зачем? А из оригинального текста явно следует, что выполнение обязательных требований должно подтверждаться сертификатом, т.е. сертификации не избежать.

    ОтветитьУдалить
  19. Да я и не спорю ;-) Просто не вижу в этом никакого смысла и все ;-) О чем и написал в самом начале заметки

    ОтветитьУдалить
  20. Приказ действительно ограничен 2007годом.
    Смысла в ОБЯЗАТЕЛЬНОЙ сертификации для всякого малого бизнеса я тоже не вижу, можно было распростаринить для отдельных категорий, тогда имело бы смысл это.

    ОтветитьУдалить
  21. Мария !!!
    Так Приказ и не настаивает на сертификации он только говорит о том, что в случае необходимости будут субсидии...

    ОтветитьУдалить
  22. Не в ту мы степь пошли ;-) Ну да ладно

    ОтветитьУдалить
  23. В ту В ту сторону... старый ты провокатор ))))

    ОтветитьУдалить
  24. Для Quiet Zone:

    > в разряд обязательных

    Кто-то из двоих слепой. Предлагаю найти малого бизнесмена и спросить, заставили ли его. Судя, однако, по реестру сертификатов...

    > пример чистой профанации

    Этическую сторону обсуждать не стану, но с профессиональной-то ты мог бы и понимать, что критерием соответствия/несоответствия является только заключение регистратора, остальному цена ноль.
    Если суд сказал "уволили законно" - значит, уволили законно, а особые мнения обиженные могут затолкать.

    ОтветитьУдалить
  25. Swan, а вы знаете такой малый бизнес который сам откажется от дополнительных субсидий?!!

    ОтветитьУдалить
  26. И для Алексея Лукацкого:

    > не вижу в этом никакого смысла

    Ах, вот оно что: ты про "смысл строительства моста через реку с точки зрения щуки"?

    У _государства_ есть какие-то причины стимулировать получение международных сертификатов российскими предпринимателями. Цена вопроса настолько смешная, что причины эти явно политические.

    ОтветитьУдалить
  27. Для Марии...
    Swan, а вы знаете такой малый бизнес который сам откажется от дополнительных субсидий?!!

    В таких условиях любой бизнес захочет стать Малым. :))

    ОтветитьУдалить
  28. Не захочет ;-) Компенсируют 250000 рублей, а сертификация обойдется куда как дороже.

    Они бы лучше компенсировали затраты на соответствие ФЗ-152.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.